Una nuova advisory congiunta di cybersicurezza pubblicata dalla National Security Agency (NSA) insieme ad altre agenzie come CISA, il NCSC del Regno Unito, il CSIS canadese, la NPA giapponese e molte altre, punta a smascherare le attività degli APT (Advanced Persistent Threat) ritenuti sponsorizzati dal governo cinese.
Secondo l’avviso, diverse aziende cinesi avrebbero fornito prodotti e servizi al Ministero della Sicurezza di Stato e all’esercito di Pechino, che a loro volta avrebbero sostenuto direttamente vari gruppi di hacker.
Questi attori malevoli prendono di mira infrastrutture critiche come telecomunicazioni, enti governativi, militari, trasporti ed energia, nell’ambito di una campagna di hacking globale ricondotta al noto gruppo Salt Typhoon.
Supplying components
«I dati sottratti attraverso queste attività, mirate a provider di telecomunicazioni e servizi Internet stranieri, oltre che a intrusioni nei settori alberghiero e dei trasporti, possono in ultima analisi fornire ai servizi di intelligence cinesi la capacità di identificare e tracciare comunicazioni e movimenti dei loro obiettivi in tutto il mondo», avverte l’advisory.
Alcune delle aziende citate nel documento, come Sichuan Juxinhe Network Technology Co. Ltd, sono già state sanzionate per i loro legami con il gruppo. Tra le altre figurano Beijing Huanyu Tianqiong Information Technology Co., Ltd. e Sichuan Zhixin Ruijie Network Technology Co., Ltd., anch’esse ritenute collegate.
Il rapporto include inoltre linee guida specifiche per il threat hunting e misure di mitigazione, in particolare la rapida applicazione delle patch ai dispositivi, il monitoraggio di attività non autorizzate e una configurazione più rigida dei sistemi.
All’inizio del 2025, il gruppo Salt Typhoon era stato individuato mentre conduceva una campagna di cyber spionaggio che ha colpito diverse aziende di telecomunicazioni, con hacker rimasti all’interno delle reti statunitensi per mesi. In quell’occasione, i pirati informatici hanno sfruttato vulnerabilità note nei Microsoft Exchange Server, che hanno consentito loro di violare le reti ed esfiltrare dati. Una patch per correggere la falla era disponibile da anni, ma le ricerche indicano che quasi il 91% delle 30.000 istanze vulnerabili non era ancora stato aggiornato — un dato che evidenzia l’importanza di un’efficace gestione delle patch.
Pechino, dal canto suo, ha sempre negato con forza qualsiasi legame con questo gruppo o con altre campagne di cyber spionaggio. In una dichiarazione a TechRadar Pro, il portavoce dell’ambasciata cinese Lui Pengyu ha affermato:
«La parte statunitense ha imposto sanzioni a imprese e cittadini cinesi sulla base del sospetto coinvolgimento nell’attacco informatico di “Salt Typhoon”. Ma dall’inizio alla fine non è mai stata prodotta alcuna prova conclusiva e affidabile che colleghi il gruppo al governo cinese. La Cina ha espresso più volte preoccupazione e opposizione a riguardo».
«Gli attacchi informatici sono una minaccia comune affrontata da tutti i Paesi, inclusa la Cina. La Cina si oppone e combatte fermamente tutte le forme di attacco e crimine informatico — una posizione coerente e chiara. Allo stesso tempo, ci opponiamo con fermezza a chi diffama altri senza prove concrete».